Czy europejskie prawo o ochronie danych osobowych, czyli m.in. słynne RODO, zbyt mocno dociska mniejsze podmioty? Jeśli tak sądzi już nawet nasz Urząd Ochrony Danych Osobowych, to znaczy, że problem przestał być fanaberią przedsiębiorców, a staje się systemowym wyzwaniem.
Takie wnioski płyną z deklaracji podpisanej przez przedstawicieli organów nadzorczych z Europy Środkowo-Wschodniej, w tym Prezesa UODO, podczas 23. Spotkania Grupy organów ochrony danych w Krakowie i Lusławicach. Panie Prezesie – brawa za odwagę.
W dokumencie tym zasygnalizowano, że mali i średni przedsiębiorcy oraz organizacje pozarządowe po prostu nie dają już rady dźwigać ciężaru biurokratycznych wymogów RODO. Nie chodzi tu o prawo do prywatności jako takie, ale o poziom jego sformalizowania, który coraz częściej przypomina pole minowe – pełne niuansów, ryzyk interpretacyjnych i kosztownych obowiązków. Szczególnie że mali gracze rzadko mają działy compliance, a o wewnętrznym inspektorze ochrony danych mogą co najwyżej pomarzyć.
Sygnatariusze deklaracji, w tym Polska, Czechy, Litwa, Węgry i inne kraje regionu, chcą wyraźnego uproszczenia tych przepisów. Proponują m.in. przeprowadzanie rzetelnych ocen skutków regulacyjnych i promowanie rozwiązań, które nie zniechęcają do działania tylko dlatego, że ktoś nie ma budżetu na prawników i konsultantów. Jednocześnie podkreślają, że nie chodzi o „rozwodnienie” ochrony prywatności, a o racjonalizację wymagań – tak by RODO nie zamieniało się w kulę u nogi sektora MŚP i NGO.
Co ważne, deklaracja nie ogranicza się jedynie do krytyki
Podnosi także potrzebę zwiększenia finansowania samych organów nadzorczych – bo te, chcąc doradzać i edukować zamiast tylko karać, same muszą mieć środki, ludzi i czas. To postulat może mniej medialny, ale kluczowy, jeśli ochronę danych osobowych mamy przekształcić z systemu strachu i kar w system partnerskiego wsparcia.
Nie bez znaczenia pozostaje też tło całej sprawy. Przepisy RODO weszły w życie w 2018 roku i od tego czasu stały się globalnym punktem odniesienia – czasem wręcz memem, szczególnie w małych firmach, które zamiast inwestować w innowacje, tonęły w rejestrach czynności i politykach cookies. Deklaracja z Krakowa to pierwszy tak mocny głos regionu Europy Środkowo-Wschodniej, że coś tu trzeba zmienić. Że ochrona danych osobowych nie powinna być przywilejem tych, którzy mają sztab doradców, ale realnym standardem dostępnym również dla mikrofirm i fundacji działających z pasji, a nie z grantów.
Czy Unia Europejska wysłucha tego głosu? Na razie to sygnał ostrzegawczy, ale jednocześnie konstruktywna propozycja – zamiast burzyć RODO, warto je po prostu dostroić do rzeczywistości. Tak, by nie było przeszkodą dla rozwoju, tylko jego sprzymierzeńcem.
